CJEU Advocate General Clarifies the Definition of Pseudonymised Data in Data Protection Law
On February 5, 2025, the Advocate General of the Court of Justice of the European Union (CJEU) provided an insightful opinion regarding the handling of pseudonymised data in the case of the European Data Protection Supervisor (EDPS) versus the Single Resolution Board (SRB). The ruling adds an important dimension to our understanding of what constitutes personal data, especially in the context of modern data management practices, which increasingly rely on data anonymization techniques.
Background of the Case
The case surfaced when the SRB appealed a decision made by the EDPS concerning a bank resolution project. In facilitating stakeholder engagement, the SRB collected opinions from impacted shareholders and creditors and shared these with Deloitte, a consulting firm. Each opinion was pseudonymised, replacing respondents’ names with alphanumeric codes. The EDPS contended that SRB failed to meet transparency obligations by not informing respondents about the sharing of their pseudonymised data with Deloitte.
A lower court ruled in favor of the SRB, citing that the pseudonymised data, in the hands of Deloitte, did not constitute personal data owing to the lack of means to re-identify individuals. This ruling inevitably drew the attention of the EDPS, leading to an appeal to the CJEU.
Key Findings of the Advocate General
In the opinion delivered, the Advocate General affirmed that pseudonymised data might indeed fall outside the definition of personal data if the risk of re-identification is negligible. Specifically, he noted that the determining factor lies with the means available to the data recipient (Deloitte) to re-identify data subjects. If such means are deemed non-existent or insignificant, then pseudonymised data should not be classified as personal data within that party’s hands.
However, the Advocate General emphasized that the disclosing party, in this case, the SRB, still retains obligations related to transparency and disclosure. Specifically, even if the data received by Deloitte is no longer considered personal data for them, it still qualifies as personal data in the SRB’s control because they have the means to re-identify the individuals involved.
Implications for Data Management Practices
This opinion holds significant implications for organizations managing pseudonymised data. Key takeaways include:
-
Clarity for Data Recipients: Organizations receiving pseudonymised data can feel more assured that such data might not be classified as personal data, provided they are not given access to identifiers or additional information that would enable re-identification. This clarity can enhance their operational flexibility, particularly in leveraging such data for research and development purposes, including AI model training.
-
Compliance Responsibilities for Disclosing Entities: The case reinforces that even when data has been anonymized or pseudonymised, disclosure parties must ensure they meet transparency obligations. This means keeping data subjects informed about any third-party sharing arrangements when collecting their information.
-
Impact on Data Breach Analysis: Organizations grappling with data breaches need to consider the nature of the breach. If only pseudonymised data is affected, this factor could be crucial in assessing and communicating next steps, including breach notifications under GDPR provisions.
As we await the binding judgment from the CJEU, the Advocate General’s opinion presents an enlightening perspective on a pivotal aspect of data protection law. It signals a potential pathway for organizations navigating the complexities of compliance in an era where data-driven strategies are paramount.
CJEU, 개인 데이터 정의를 벗어나는 가명정보에 대한 명확한 기준 제시
2025년 2월 5일, 유럽연합 사법재판소(CJEU) 유럽 데이터 보호 감독자(EDPS) 대 단일 해결 위원회(SRB)의 사건에 대해 가명정보 처리를 둘러싼 중요한 의견을 발표했다. 이 ruling은 개인 데이터가 무엇인지에 대한 우리의 이해에 중요한 차원을 추가하며, 특히 점점 더 데이터 익명화 기법에 의존하는 현대 데이터 관리 관행의 맥락에서 더욱 중요하다.
사건의 배경
SRB는 데이터 수집 프로젝트의 일환으로 사채자와 채권자들로부터 의견을 수집하고 이를 Deloitte라는 컨설팅 회사와 공유했다. 각 의견은 응답자의 이름을 알파벳 숫자 코드로 대체하여 의사식별화됐다. EDPS는 SRB가 응답자들에게 그들의 가명정보를 Deloitte와 공유한다는 사실을 알리지 못해 투명성 의무를 위반했다고 주장했다.
하급 법원은 Deloitte 측에서 가명정보가 개인 데이터로 간주되지 않으며, 이로 인해 SRB를 지지하는 판결을 내렸다. EDPS는 이 판결을 CJEU에 항소하게 된다.
CJEU의 주요 발견
법관의 의견에서, 가명정보가 재식별 위험이 미미한 경우 개인 데이터의 범주에 속하지 않을 수 있다는 점을 확정하며 기초 자료를 제공했다. 특히 데이터 수신자(Deloitte)의 재식별 가능성을 평가하는 것이 결정적인 요소로 작용한다는 점이 강조되었다. 이러한 경우, 가명정보는 해당 당사자의 손에 있는 한 개인 데이터로 분류되지 않아야 한다.
하지만 법관은 데이터를 공개하는 당사자(SRB)는 여전히 투명성과 정보 제공과 관련된 의무를 다해야 한다고 강조했다. 즉, 데이터가 Deloitte의 손에 있을 때 더 이상 개인 데이터가 아니더라도 SRB는 여전히 재식별할 수 있는 정보를 가지고 있으므로 가명정보로 취급받아야 한다.
데이터 관리 관행에 대한 시사점
이 의견은 가명정보를 관리하는 조직에 중요한 의미를 가진다. 주요 사항으로는 다음과 같다:
-
데이터 수신자를 위한 명확성: 가명정보를 수신하는 조직은 해당 데이터에 식별자나 재식별을 가능하게 하는 추가 정보에 접근하지 않는 한, 개인 데이터로 분류되지 않을 것이라는 확신을 가질 수 있다. 이는 특히 AI 모델 교육과 같은 연구 및 개발 목적으로 이러한 데이터를 활용할 수 있는 operational flexibility를 부여한다.
-
공개 당사자의 준수 책임: 비록 데이터가 익명화되거나 의사식별되더라도, 공개 당사자는 투명성 의무를 이행해야 한다는 점은 강화되어야 한다. 즉, 데이터 수집 시 응답자에게 제3자와의 공유 계획을 알려야 한다.
-
데이터 유출 분석에 대한 영향: 데이터 유출에 대한 대응 방안을 마련하는 조직은 유출된 데이터의 성격을 고려해야 한다. 가명정보만이 영향을 받았다면, 이는 GDPR 규정에 따라 통지 의무를 평가하는 데 중요한 요소가 될 수 있다.
CJEU의 법원의 구속력 있는 판결을 기다리는 가운데, 법관의 의견은 데이터 보호 법률의 중대한 측면에 대한 통찰력을 제공한다. 이는 데이터 기반 전략이 그 어느 때보다 중요시되는 시대에 조직들이 강화된 준수 기준을 탐색하는 데 있어 유용한 경로를 제시한다.